Condividi:        

Problemi con "Service.exe"

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Problemi con "Service.exe"

Postdi Alexspqr » 08/05/07 23:19

Ragazzi, ho grossi problemi con la connessione e la navigazione.....per non parlare del collegamento con Msn...praticamente cliccando sul Task menager, con nessun collegamento in atto, e' presente un file di esecuzione che e' avviato e che mi occupa buona parte della Ram.
Questi e' "service.exe".
Come mi devo comportare? E' un virus?
Un saluto, Alex
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Sponsor
 

Postdi Alexspqr » 09/05/07 04:09

Scusate, e' SERVICES.EXE
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi SkunkWorks 68 » 09/05/07 11:30

Potrebbe essere...
Le scansioni approfondite con il tuo antivirus cosa ti dicono ?
Leggi qui: http://www.pctrio.com/ForumN/showthread.php?t=4447
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi BilloKenobi » 09/05/07 15:32

Ciao

per vedere meglio come sta messo il tuo pc, scarica HijackThis

HijackThis

non puoi lanciarlo dal file zippato, ma devi estrarlo in una cartella dedicata, tipo C:\Hijackthis o C:\Programmi\Hijackthis

avvia il file .exe e poi clicca su "Do a system scan and save a logfile". Vedrai il programma lavorare velocemente, e alla fine si aprirà un blocco note con tutti i dati. copia il contenuto qui sul forum
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Alexspqr » 09/05/07 16:34

Ok ora eseguo e poi ve lo invio....
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Alexspqr » 09/05/07 16:37

Logfile of HijackThis v1.99.1
Scan saved at 17.36.25, on 09/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\Twain_32\NX VEGA 300\SnapTrap.exe
F:\WinZip\WZQKPICK.EXE
C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
F:\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [STICAP] C:\WINDOWS\Twain_32\NX VEGA 300\SnapTrap.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = F:\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = F:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{48BCD526-1275-40D2-AEA6-BEA035673BC9}: NameServer = 62.211.69.150 212.48.4.15
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programmi\File comuni\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - F:\ewido anti-spyware 4.0\guard.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi Alexspqr » 10/05/07 13:43

Ragazzi un aiutino.....
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi BilloKenobi » 10/05/07 14:21

quel log è pulito. scusa, ma qual'è il percorso del file di cui ti lamenti? in quale cartella si trova?

prova a vedere con gmer se ci sono processi maligni occultati con tecnologia rootkit ;)

http://www.gmer.net/files.php

basta che apri il programma, e lui controllerà i processi in memoria. se ne trova di rossi, elencali
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Alexspqr » 10/05/07 18:36

Ecco elencati i processi in rosso segnalati dal programma:

SSDT \??\C:\WINDOWS\system32\windw-5d1-2552.sys
( ZwEnumerateKey)

SSDT \??\C:\WINDOWS\system32\windw-5d1-2552.sys
( ZwEnumerateValueKey )

SSDT \??\C:\WINDOWS\system32\windw-5d1-2552.sys
( ZwQueryDirectoryFile)

Library C:\WINDOWS\CTFRMON.EXE (***hidden***)
(0x10000000)

Process C:\WINDOWS\CTFRMON.EXE (***hidden***) @ C:\WINDOWS\CTFRMON.EXE [1468]
(1468)

Library C:\WINDOWS\services.dll (*** hidden ***) @ C:\WINDOWS\CTFRMON.EXE [1468]
(0x00400000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ C:\WINDOWS\explorer.exe [1508]
(0x10000000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ F:\WINZIP32.EXE [1700]
(0x10000000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ C:\WINDOWS\twain_32\NX VEGA 300\SnapTrap.exe [1768]
(ox10000000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ F:\WinZip\WZQKPICK.EXE [1864]
(0x10000000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ C:\Programmi\file comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe [2428] (0x10000000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ F:\emule\emule.exe [2724]
(0x01EB0000)

Library C:\WINDOWS\services.dll (*** hidden ***) @ C:\Documents and Setting\ALEXSPQR\Impostazioni locali\Temp\gmer.exe [3460]
(0x1000000)

Service C:\WINDOWS\system32\wincom32.sys (*** hidden ***)
([AUTO] wincom32)

Service C:\WINDOWS\system32\windev-5d1-2552.sys (*** hidden ***)
([AUTO] windev-5d1-2552

File C:\WINDOWS\system32\windev-5d1-2552.sys

Ora come devo procedere? Grazie, un saluto.....Alex
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi BilloKenobi » 10/05/07 18:45

già, mi pare una variante del trojan-serenta, o simili. vediamo più a fondo

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su http://www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Alexspqr » 11/05/07 14:13

Non riesco a scaricare Systemscan.......
Alexspqr
Utente Junior
 
Post: 25
Iscritto il: 01/05/07 20:51
Località: CAGLIARI

Postdi BilloKenobi » 11/05/07 17:08

il link è giusto. prova da qui

http://w13.easy-share.com/1078916.html
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05


Torna a Sicurezza e Privacy


Topic correlati a "Problemi con "Service.exe"":


Chi c’è in linea

Visitano il forum: Nessuno e 48 ospiti